반응형
- 아키텍팅 기본 사항
가용영역(Available Zone, AZ)
재해발생 이중화 필요 - 데이터를 다른 AZ에 백업 또는 이중으로 구성
리전 기반 서비스, 글로벌 서비스는 내부적으로 여러 리전을 사용
리전 - 주요도시별 구성
서울리전, 도쿄리전
선택시 고려사항AWS Local Zones
로컬 데이터 처리
엣지 로케이션 : CDN 사용, 글로벌 서비스에 제공,
캐싱 거버넌스 : 데이터의 소유권이 어디냐?, 글로벌 법적이슈, 금용데이터는 어디내 저장 지연시간 : 사용자의 위치에서 가까워야 빠름 서비스 가용성 : 서울리전에 SMS 미지원 비용 : 미국 버지니아가 저렴, 상파울로 가장 비쌈(전기료), 나라별 인프라 비용이 다름- 계정 보안
IAM : 글로벌 리전 서비스, 무료
페더레이션 - 로그인 연동
권한 부어 : 보안주체에 권한 적용하여 제어
그룹, 역할을 만들어 쉽게 관리쟈격증명 기반 : 사용자 중심으로 정책 부여
리소스 기반 : 리소스 중심으로 정책 부여
권한 경계( Permission Boundary) : 부관리자 IAM관리가 가진 경우, 본인에게 임의 권한 부여 막음
Organizations 사용 : 다중 계정 관리
IAM center
AWS organizations
OU, 계정 을 트리 구조 형태로 권한(Organizations SCP) 부여
IAM 자격 증명과 같이 허용 되어야 사용 가능 그룹 역할 : 권한 묶음, ex) IAM역할 역할을 만들어 그룹, 사용자에게 적용할 수 있음- 네트워킹
VPC : IP를 할당해서 사용해야 하는 서비스 사용시 사용. ex) EC2
사설 ip : 10.x.x.x, 172.31.x.x, 192.168.x.x
CIDR( Classless Inter-Domain Routing ) : x.x.x.x/16 -> 네트웍식별비트(8)/호스트비트(8)
리전기반 서비스, 논리적 네트웍 대역 부여
서브넷 : 가용영역 기반 서비스라우팅 테이블 : 서브넷당 하나씩 독립적 설정, ip -> igw로 연결해야 외부로 연결됨
인터넷 게이트웨이 : 인터넷통신을 위한 관문EC2에 탄력적 ip 부여 -> 고정 ip, 다른 EC2로 할당시 장애복구 효과, 리전당 5개로 제한, 서포트팀에 요청시 늘려줌
탄력적 네트워크 인터페이스 -> EC2 바꿔 붙임, MAC 어드레스를 넘겨야 하는 경우NAT 게이트웨이 -> Network address translationACL( NACL, 네트워크 엑세스 제어 목록 ) : 서브넷에 대한 룰보안그룹( SG, Security Group ) in, out bount 별로 룰 설정 인스턴스별로 보안 설정 EC2, DB 디폴트 : 인바운드 차단, 아웃바운드 허용 아웃바운드의 대상에 SG ID를 설정 : 보안그룹연결, 체인으로 연결시 상태 저장 : 인바운드 저장시 아웃바운드 체크 없음, 나이트 입장 규칙 순서 없음 체인화, 포트 허용in, out bount 별로 룰 설정 ip, port 설정 서브넷 단위로 방화벽을 설정할 때 사용 상태 비저장 : 인, 아웃 똑같이 체크, 입출국 여권 확인 규칙번호가 낮아야 우선 순위 놈음 디폴트 : 모두 오픈 특정 ip 차단private지만, out bound에 대해서만 인터넷 사용시 사용 private 라우팅 테이블에 0.0.0.0/0 -> nat로 연결Network interfaces, EC2 생성시 몇개 설정 할 수 있음역할1 : VPC 라우팅 테이블에서 인터넷 바운드 트래픽에 대한 대상 제공 역할2 : 내부적 NAT( 네트워크 주소 변환 )권장 사항 가용영역 2개 사용 권장 public / private로 분리 권장 로드벨런서 사용하여 2개 이상 AZ 사용 권장- 컴퓨팅
EC2Amazon EBS인스턴스 스토어 볼륨요금제 온디맨드 : 초당, 시간당 사용, 사용한 만큼 지불 Savings Plans : 약정 Compute Savings Plan : 최대 66% 할인 EC2 Instance Savings Plans : 일부 패밀리에서 온디맨드요금 72% 할인 스팟 인스턴스 가동률 높이기 위해 할인 해 줌 : 최대 90% 할인 언제 중단 될지 모름 일시적으로 사용할 경우 저렴한 비용으로 사용 빅데이터 분석 등인스턴스 중지 시 데이터 없어짐 일시적으로 고속으로 사용하는 경우Provisioned 를 설정하면 용량외 IOPS 를 설정함태크 : key-value 형태, 최대 50개, 특정 태그로 제거, 사용량 확인 AMI : 운영체제가 설치된 미리 구성된 이미지, 직접 설치해서 AMI 생성 후 사용 가능 인스턴스 유형 : c6g.xlarge = 인스턴스패밀리/세대/추가속성.크기 키 페어 : SSH, 원격접속(RDP) 사용하여 EC2로 접속 시 사용 SSH는 키를 통해 접속할 수 있다. EC2 는 public 키룰 가지고 local 은 private 키를 가지고 접속 Session Manager를 사용하면 생상할 필요 없음 윈도우는 Admin 패스를 변경시 필요 테넌시 : 공유 테넌시 : 공용 하드웨어 사용 전용 인스턴스 : 전용 하드웨어 사용, 하드웨어 격리 전용 호스트 : 하드웨어 미리 할당받아 점유 배치그룹 : 데이터센터의 Rack과 Rack 간의 Tor스위치가 있고, HUB로 연결되어 있음 EC2가 같은 Rack 에 있으면 통신속도가 더 빠름 클러스트 : EC2 인접 배치 분산형 : 파티션 : 사용자 데이터 : 인스턴스 시작 후 바로 실행 리눅스 bash shell 윈도우 powershell 인스턴스 메타데이터 instance-id
실습2
VPC 생성 - CIDR 설정
DHCP 자동ip할당 설정
DNS 도메인 이름 설정
서브넷 생성 - VPC와 연결, 가용영역 설정, CIDR 설정
public subnet
되려면 IGW 연결, route table 설정, public ip
인터넷 게이트웨이 생성 - VPC와 연결( attach )
라우팅 테이블( Public ) 생성 - VPC와 연결
route 추가 : destination( 0.0.0.0/0 ) - IGW와 연결
Public 서브넷과 연결( association )
private subnet
보안 그룹( Public ) 생성 - VPC와 연결, 인바운드 룰에 HTTP -> Anywhere-IPv4 설정
EC2 생성 - VPC 선택, Public 서브넷과 연결, SG 연결
외부에서 접속 가능, 인스턴스에서 외부로 접속 가능 확인
ec2 role 부여하면 session manager 사용 가능
NAT 게이트웨이 생성 - Public 서브넷 연결, elastic ip 할당
라우팅 테이블(Private) 생성 - VPC와 연결
route 추가 : destination( 0.0.0.0/0 ) - NGW와 연결
Private 서브넷과 연결
보안 그룹(Private) 생성 - VPC와 연결, 인바운드 룰에 HTTP -> Public SG로 설정
EC2 생성 - VPC 선택, Private 서브넷과 연결, SG 연결
인스턴스에서 외부로 접속 가능 확인
AWS Lambda
서버리스 컴퓨팅
최대 15분 실행
주로 이벤트를 처리
img를 업로드 하면 thumbnail 생성- 스토리지
종류Amazon S3 - 객체 스토리지 http 웹기반, 인터넷으로 연결 리전 기반 서비스 : 데이터가 3개의 가용영역에 6개 복제 됨 폴더가 아니라 이름으로 디렉토리 처럼 보이도록 처리 내구성 우수 암호화 자동 설정 SSE-S3 알아서 암호화 SSE-KMS 암호키를 관리 해야 함 SSE-C 고객이 키 제공 버킷정책 퍼블릭 엑세스 차단 필요 스토리지 클래스 S3 Standard : 비용 높음, 자주 엑세스 할때 사용 S3 StandardIA S3 One Zone IA : 가용영역 1곳 S3 Glacier Instant Retrieval 복원 필요 S3 Glacier : 복원 3시간 S3 Glacier : 복원 12시간 이상 어느 정도 사용할지 모를때, intelligence S3 버전 관리 -> 비용 높음 복제 멀티파트 업로드 Transfer Acceleration 원거리에 데이터 전송 시 유용 파일 -> 엣지로케이션 -> Amazon network -> S3 버킷 Transfer acceleration -> enabled, 추가 비용, endpoint 다름 이벤트 알림 ex) 버킷에 이벤트 발생 시 -> Lambda 함수 비용 스토리지 유형 요청 및 검색 : 월 몇건 데이터 전송 : 리전 밖으로 나갈때만 전송 비용 발생 버전관리 : 카피본이 생기므로 복제 : 분석 : Storage lens 등 분석 비용 Amazon EFS 운영체제의 mount 기법을 사용, VPC 내부 Amazon FSx 윈도우 파일 서버 SMB 프로토콜 Storage Gateway File Gateway : NAS Tape Gateway : VTL Volume Gateway DataSync 온프레미스에 설치 후 마운트 -> 리전의 DataSync가 처리 Snow 패밀리 Snowcron, Snowball블록스토리지 : EBS 파일스토리지 : 디렉토리 db 사용, path가 길어지면 느려짐, type이 많으면 느려짐 EFS : NFS FSx : SMB ( windwos ???? ) 객체스토리지 : 디렉토리 없이 저장 S3- 데이터 베이스 서비스
읽기 전용 복제본 -> 시스템에 영향을 안주고, 데이터 분석 할때 등. 업무의 오퍼로드 분리
암호화 : 암호화 선택 해야함
AWS Aurora( 관계형 )AWS Dynamo( 비관계형 )데이터베이스 캐싱AWS DMS( Database Migration Service ) 동기종간 : 인터넷 및 snowball 로 이동 이기종간 : 스키마가 다르면 AWS SCT( Schema Conversion Tool ) 사용라이트 스루 : DB에 쓰면서 캐쉬에도 쓰기 레이지 로딩 : 캐시 관리 TTL 값 사용 Amazon ElastiCache 데이터베이스에 캐시가 필요한 경우 Memchached Redis 완전 관리형 Amazon DynamoDB Accelerator(DAX 클러스터) 1/10로 속도 향상완전관리형 key-value 용량관리 온디멘드 : 예측 안될때 프로비저닝 : 최소, 최대 RCU 설정 RCU 데이터 읽는 단위( 4KB ) 40KB -> 10 RCU 3개의 AZ에 분산되는 리전 기반 서비스 일관성 옵션 복제시 시간 걸림, 1초 이내 - 최종적으로 일관된 일기 : 쓰고 바로 읽으면 쓰기전 데이터 읽을 수 있음, 0.5 RCU 사용 - 강력한 읽기 일관성 : 데이터 싱크됨, 1 RCU 사용 글로벌 테이블 : 리전간 복제를 자동화MySQL, PostgreSQL 호환 최대 128T, 오로라가 아닌것은 64T 3개의 가용 영역에 2개씩 저장 서버리스 가능
실습3
Load Balancer : 여러 instance에 대해 단일 DNS, ip 를 지원, 장애시 우회
트래픽 분산을 위해 상태 확인 및 장애 탐지
ALB layer 7
NLB layer 4
GLB layer 3
리스너와 타겟
Aurora
클러스터 개념으로 동작, 클러스터 구분하는 이름 설정
DB pass 설정
Enable Enhanced monitoring : SQL로그를 Cloud Watch로 보냄
- 모니터링 및 크기 조정
운영상태
Cloud Watch자동 크기 조정 -> 고가용성 AWS Auto Scaling : 확장 가능한 리소스를 늘려줌 Load Balancer -> Amazon EC2 Auto Scaling EC2 수요에 따라 확장, Load balancer에 트래픽 증가하면 확장 구성요소 : 최소, 최대, 원하는 용량, 정책 설정 정책 : Cloud Watch로 지표로 경보 발생 -> EC2 추가 생성로그 수집 지표 : 사용량 Cloud Trail : 사용자 활동, API 사용량 Alarms 경보 이벤트 -> 지표의 임계값을 초과 -> EventBridge or Lambda -> Amazon SNS -> 이메일 전송 EventBridge : 다양한 이벤트 수집, 이벤트 라우팅- 자동화 : 인프라를 간단하게 구축하는 방법
Cloud FormationAWS Elastic Beanstalk 빈스톡System Manager EC2 + 웹서버 인프라 고민없이 코드만 넣어서 사용템플릿이용, 템플릿을 가지고 스택을 생성 IaC : yaml 파일, 코드 관리, 파일명에 버전 추가 yaml 파일내의 순서 없이 실행 실패하면 롤백 AWS CDK Cloud Formation 에서 순서, 조건등의 코드처럼 사용 AWS Solutions Library 템플릿을 다운받아 Cloud Foramtion에서 사용- 컨테이네
AWS Fargate : EC2의 서버리스 서비스라고 보면됨, EC2의 대체EKS control 서버 구축EC2 같은 호스트를 가상으로 제공 서버리스, OS관리 필요 없음- 네트워킹 2
VPC 엔드포인트VPC 피어링VPN : 인터넷 사용하지만, 사설 네트웍을 이용AWS Direct Connect : 물리적 연결
AWS Transit Gateway VPN : 온프레미스 - VPN - Transit Gateway - 여러 VPC VPC 허브 -> 메시처럼 안해도 됨 라우팅 조정 가능 : 특정 VPC와만 통신하도록 설정 가능Site-to-Site VPN : 온프레미스와 AWS VPC 연결 암호화 사설 네트웍 : 사이트간 통신 네트웍 고가용성을 위해 엔드포인트 2개VPC A, B의 대상을 같은 VPC 피어링으로 설정 리전 내 및 리전 간 지원 교차 계정 지원인터넷 통하지 않고 AWS 서비스를 사용하는 기술, 보안을 위해 사용 1. 게이트웨이 엔드포인트 -> S3, DynamoDB 라우터처럼 존재, 라우팅 개념 사용, 라우터에 등록 필요 2. 인터페이스 엔드포인트 ENI카드, 네트웍 카드 만들고 ip를 할당- 서버리스
API GatewayAmazon SQSAmazon SNSAmazon KinesisStep Functions workflow를 만들어 lambda function 호출Data stream : 저장 Firehore : 버터에 연결, 일정 시간 마다 S3 이동 ??? Video Stream 분석메시지 전달 게시자 -> 주제 -> 병렬로 메시지 -> 여러 구독자 256KB완전관리형 메시지 대기열 서비스 느슨한 결합 비동기식 가시성 제한 시간( 30초 ), 대기열에서 가져갈때 대기열에 락을 걸어 동시에 못 가져가게 함 폴링 유형 짧은 폴링 : api 호출많아 비용 높아짐 긴 폴링 : 천천히 가져옴 256KB단일 endpont 제공 어떤 서비스인지 path로 연결 Lmbda EC2 ... DDos 보호 및 제한 기능 백엔드에 대한 요청을 인증 및 권한 부여 API 사용을 조절, 속도 조절 -> 수익화- 엣지서비스
전 세계 리전 외 별도의 엣지 로케이션이 있음엣지서비스 몇개13 백업 및 목구
HA High Availablity - 고가용성 99.999% 1년의 5분 정도 downn time
FT Fault Tollerance 내결함성 : 중복성
백업
재해복구 - 재해 발생 후 복구
가용영역의 서비스는 다른 가용 영역에 이중화 해야 함
RPO 복구시점목표 - 원하는 시점으로 복구
RTO 복구시간목표 - 최소
복구 전략 - RPO, RTO, 비용 고려하여 최적화된 복구 전략 수립 AWS Backup : 파일럿 라이트 : 웜 스탠바이 : 다중 사이트 액티비-액티비 :Amazon Route 53 -> dns 서버 포트 번호 100% SLA => 안죽음, 동시에 200여개 엣지에서 동작 도메인 네임 서비스 : ip <-> 도메인 이름, 도메인 등록, 관리 ip를 던져주는 역할, 라우팅 장애 조치 라우팅 리지 근접 라우팅 지연 시간 기반 라우팅 다중 응답 라우팅 가중치 기반 라우팅 Cloud Front : 내부적으로 캐싱이라고 보면 됨 CDN( Content Delevery Network ) 250여개의 엣지에다가 데이터를 복사해서 캐시해 둠 사용법 : destribution 에다가 Origin을 S3로 연결 DDoS 보호 OSI layer 별 공격 방법이 다양 AWS Shield Standard 무료 AWS Shield Advanced 구독 EC2가 public으로 오픈되면 DDoS 공격 들어옴 AWS WAF( Web Application Firewall ) Http 상위 수준의 공격에 대한 방어 방어 가능한 서비스 CloudFront ALB ... AWS Firewall Manager 많은 계정 및 리소스를 한 곳에서 방어 룰을 중앙에서 관리 AWS WAF VPC 보안 그룹 AWS Shield Advanced AWS Network Firewall AWS Outposts Outposts 랙 Outposts 서버리전 : 주요 도시에 배치 AWS Outposts 랙장비, 고객사에 연결 snow ball 데이터 이동
반응형